コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=certificates-add-for-TLS-traffic

TLS トラフィック用の下位 CA およびルート CA の追加

ここでは、Sophos Firewall で証明書署名要求 (CSR) を生成し、エンタープライズ CA モードで Active Directory 証明書サービス (AD CS) を使って下位の証明機関 (CA) を生成する例を示します。

スタンドアロン CA モードで AD CS を使用している場合は、この例を使用できません。

または、OpenSSL などのサードパーティ製ツールを使用して CSR と CA を生成することもできます。サードパーティ製ツールを使用して生成した下位 CA およびルート CA は、「証明書 > 証明機関」でアップロードする必要があります。詳細は、CA の追加を参照してください。

下位 CA は、SSL/TLS インスペクション、HTTPS 復号化、およびメールの TLS 設定用の署名 CA として使用できます。

次の手順を実行します。

  1. CSR を生成します。
  2. 下位 CA を生成し、下位 CA とルート CA をダウンロードします。
  3. 下位 CA を Sophos Firewall にインポートします。
  4. ルート CA を Sophos Firewall にアップロードします。
  5. 下位 CA を適用します。

CSR を生成する

  1. 証明書 >証明書」の順に選択し、「追加」を選択します。

  2. 処理」で「証明書署名要求 (CSR) の生成」を選択します。

    証明書: 署名要求オプション。

  3. 以下の証明書の詳細を指定します。

    1. 名前を入力します。
    2. 鍵の種類 (例: RSA)
    3. 鍵の長さ (例: 2048)

    4. セキュアハッシュ (例: SHA - 256)

      次に例を示します。

      証明書: 署名要求オプション。

  4. 以下のサブジェクト名の属性を指定します。

    1. 国名 (例: 日本)
    2. 都道府県 (例: 東京都)
    3. 市町村名 (例: 港区)
    4. 組織名 (例: 組織の例)
    5. 組織単位名 (例: IT)
    6. コモンネーム (例: www.exampleorg.com)

    7. メールアドレス (例: email@exampleorg.com)

      次に例を示します。

      証明書: 署名要求オプション。

  5. サブジェクト代替名」に、DNS 名または IP アドレスを入力します。

    例: web.exampleorg.com、fd12:3456:789a:1::、203.0.113.10

    証明書:SAN の設定。

  6. 保存」をクリックします。

  7. 以下の手順で CSR をダウンロードします。

    1. 作成した CSR のダウンロードボタン をクリックします。

    2. ポップアップウィンドウで、「クリップボードにコピー」をクリックします。

      次に例を示します。

      CSR 証明書のコピー。

Active Directory 証明書サービスで下位 CA を生成する

CSR に基づいて下位 CA を生成する必要があります。ここでは、エンタープライズ CA モードで AD CS を使用しています。

  1. AD CS で、次の手順に従って下位 CA を生成します。

    1. 証明書を要求する」をクリックします。

      証明書の要求。

    2. 証明書の要求の詳細設定」をクリックします。

      証明書の要求の詳細設定。

    3. コピーした CSR 証明書を貼り付けます。

    4. 証明書テンプレート」で、「下位証明機関」を選択します。

    5. 送信」をクリックします。

      次に例を示します。

      CSR 証明書と下位 CA のテンプレート。

    6. 証明書の発行」で、エンコード形式を選択します。

      この例では、「Base 64 エンコード」を選択しています。

    7. 証明書のダウンロード」をクリックして、下位 CA の証明書をダウンロードします。

      エンコードとダウンロード。

  2. ルート CA の証明書をダウンロードするには、次の手順を実行します。

    1. 「ようこそ」ページで、「CA 証明書のダウンロード」をクリックします。

      ルート CA のダウンロード。

    2. 下位 CA への署名に使用するルート CA を選択します。

    3. CA 証明書のダウンロード」をクリックします。

      次に例を示します。

      サーバーに証明書オプションをダウンロードします。

    4. 保存」をクリックします。

下位 CA を Sophos Firewall にインポートする

Sophos Firewall で作成した CSR に基づいて生成された CA の場合は、次のように CA をインポートする必要があります。

  1. 証明書 >証明書」の順に選択し、「追加」を選択します。
  2. 生成した CSR のインポートボタン 「インポート」ボタン。 をクリックします。
  3. ファイルの選択」をクリックし 、AD CS からダウンロードした下位 CA を選択します。

  4. 証明機関のみ」をクリックします。

    CA であることが識別され、CA オプションを利用できるようになります。

  5. 必要に応じて、証明機関の名前を変更します。

  6. 証明書のインポート」をクリックします。

    次に例を示します。

    下位 CA のインポート。

  7. リストで下位 CA を確認するには、「証明書 > 証明機関」に移動します。

  8. 名前」の横のフィルタを使用して、CA の名前に該当する検索語を入力し、「適用」をクリックします。

    次に例を示します。

    下位 CA の検索。

    インポートした下位 CA が表示されます。CSR の秘密鍵が、下位 CA に自動的に関連付けられています。

    下位 CA の秘密鍵。

ルート CA を Sophos Firewall にアップロードする

下位の署名 CA を信頼するには、そのルート CA を Sophos Firewall に追加する必要があります。

  1. 証明書 >証明機関」に移動し、「追加」をクリックします。
  2. 証明書」で「参照」をクリックし、AD CS からダウンロードしたルート CA をアップロードします。
  3. 必要に応じて名前を変更します。

  4. 証明書の使用目的」で、次のデフォルトの選択を維持します。検証

    ルート CA は、インポートした下位 CA の検証のみを行います。

    次に例を示します。

    ルート CA のアップロード。

  5. 保存」をクリックします。

CA を適用する

SSL/TLS トラフィックの再署名用に、下位 CA を選択できます。